Payload tokenu wygląda mniej więcej tak (można wpisać w niego cokolwiek, bo serwer i tak nie sprawdza podpisu cyfrowego całości – atakujący wymusza takie zachowanie algorytmem none). Część zaznaczona boldem oznacza użytkownika, w kontekście którego zostanie wykonana operacja w Sharepoincie.
Po prostu możemy generować dowolne żądania HTTP, będąc nagle de facto administratorami Sharepointa:
Then we can impersonate Site Admin user and perform any further action!
Na tym jednak badacze nie poprzestali. Chcieli uzyskać możliwość wykonywania poleceń na serwerze. Poprzedni problem udało się zlokalizować w raptem 2 dni, tutaj było trochę gorzej. Ale czego się nie robi dla $100 000 bug bounty ;-)
W każdym razie efektem pracy było zlokalizowanie podatności CVE-2023–24955, która połączona z poprzednią daje możliwość wykonywania poleceń na serwerze – bez konieczności wcześniejszego uwierzytelnienia.
“Część zaznaczona boldem oznacza użytkownika, w kontekście którego zostanie wykonana operacja w Sharepoincie.”
Zapomnieliscie dodac tego bolda, pozdrawiam
jest przecież, to ten fragment z ‘Administrator’
Exploitację? Co to za słowo? Śmiechu warte
zwykłe słowo :-)